한글문서6 드론(무인항공기) 현황 내용의 한글(*.HWP) 악성코드 유포 중 ASEC 분석팀에서는 드론(무인항공기) 관련 내용의 악성 한글 문서(.HWP)가 유포되고 있음을 확인하였다. 아래 [그림1]과 같이 드론 현황 및 개선방안의 내용으로 구성되어 있으며 내부에는 악성 EPS를 포함하고 있다. 문서 실행 시 내부의 악성 포스트스크립트(EPS)가 동작하여 악성 행위를 수행하게 된다. 해당 EPS는 CVE-2017-8291 취약점을 사용하여 내부의 쉘 코드를 복호화 후 실행한다. 감염 PC에서 현재 실행중인 모든 프로세스 정보를 조회하며 자사 V3 제품이 실행 중인지 검사하는 루틴이다. 비교 대상 값인 3376과 3356은 문자열로 "v3" 및 "V3"를 의미한다. 해당 쉘 코드가 동작하면 작업스케줄러에 다음과 같은 명령어로 예약 작업을 등록하여 3분 마다 실행되도록 한다. sc.. 2020. 6. 2. 악성 한글문서(.hwp) 유포 파일명 변화과정 추적 그간 ASEC블로그를 통해 알려왔듯 아주 오랜 시간동안 악성 한글 문서를 이용한 공격이 끊임없이 이루어 지고 있다. 공격자는 문서파일 제목을 통해 사용자가 의심없이 실행하도록 유도하고 있으며, 이번 블로그 글에서는 최근 3달 동안 확인된 악성 한글파일 제목의 변화과정을 다뤄보고자 한다. 해당 정보는 '한글 문서를 통해 의심스러운 행위가 발생'했을 시 수집되는 자사 모니터링 시스템을 통해 확인 가능하였다. 주제 1 : 코로나 관련 (Lazarus 그룹 추정) 전라남도 코로나바이러스 대응 긴급조회.hwp 인천광역시 코로나바이러스 대응 긴급 조회.hwp 인천광역시 코로나바이러스 대응 긴급 조회-**대 김**.hwp [붙임] 코로나19_관련_사증면제 정지 등 조치_알림.hwp 지금도 여전히 코로나와 관련한 이슈.. 2020. 5. 27. 부동산 투자관련 메일로 유포 중인 한글 악성코드 (EPS사용) 지난 4월부터 증가한 악성 한글 파일의 유포가 여전히 지속 되고있다. ASEC에서는 지난 주 부동한 투자관련 내용으로 위장한 한글 문서(.HWP)가 메일을 통해 유포되고 있음을 알리고자 한다. 아래 [그림1]과 같이 부동산 투자 관련한 제목의 메일에 여러개의 한글 문서들을 첨부하였고 이 첨부된 문서 중 악성 한글 파일을 포함하였다. 메일과 문서 내용을 위와 같이 그럴듯하게 작성하여 사용자가 방심하도록 유도 후 악성 한글 파일을 실행하도록한다. 실행 된 이 한글 파일은 내부에 있는 악성 포스트스크립트(EPS)가 동작하여 악성의 기능을 수행하게 된다. 해당 EPS는 CVE-2017-8291 취약점을 발생시켜 내부 코드를 실행하도록 한다. 해당 코드는 %appdata%\Microsoft\Internet Exp.. 2020. 5. 25. '코로나바이러스 대응 긴급조회' 한글문서 악성코드 유포 ASEC분석팀은 '코로나바이러스 대응 긴급조회'로 위장한 악성 문서파일을 발견하였다. 과거 악성 문서파일들의 경우 Office 의 매크로 기능을 악용하여 사용자에게 콘텐츠 사용을 유도하는 방식을 주로 이용하였다. 그러나 이와 달리 4월 1일 발견된 문서 파일은 한글 파일을 사용하며, 전라남도 감염병관리지원단 을 사칭한 파일로 주의가 필요하다. 이 뿐만 아니라 인천광역시 감염병관리지원단을 사칭한 파일도 발견되고 있다. 이처럼 악성코드 제작자는 다양한 기관들을 사칭하고 있다. 한글 파일은 EPS(EncapEncapsulated Postscript) 파일을 포함하고 있으며 powershell.exe을 이용해 외부 URL 접속하여 추가 악성코드를 다운로드 한다. 다운로드된 파일은 정보탈취와 백도어의 기능을 가지.. 2020. 4. 2. [주의] 한글문서 악성코드 동작방식 변화 (시작프로그램 등록) 안랩 ASEC 분석팀에서는 11월 18일 아래의 ASEC블로그를 통해 한글 문서파일 악성코드 실행 시, VBS 스크립트 파일을 시작 프로그램에 등록하여 재부팅 시점에 악성행위가 수행하는 동작방식을 소개하였다. 현재 이러한 형태의 공격방식이 다양한 고객사에서 널리 확산되고 있으며, 공격자도 V3 탐지를 우회하기 위해 다양한 변종(*.VBS, *.VBE, *.JS, *.WSF)을 제작하고 테스트하는 것으로 확인되었다. 한글문서 실행 시, 시작 프로그램에 등록된 파일이 존재할 경우 의심스러운 문서로 추정할 수 있다. 2019.11.18 '한국국가정보학회 학회장 선거공고' 내용의 악성 HWP 유포 '한국국가정보학회 학회장 선거공고' 내용의 악성 HWP 유포 안랩 ASEC 분석팀은 "제 9대 학회장 선거공고 및 .. 2019. 11. 22. ASEC 보안 위협 동향 리포트 2012 Vol.36 발간 안랩 ASEC에서 2012년 12월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.36을 발간하였다. 이 번에 발간된 ASEC 리포트는 2012년 12월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. 1) 악성코드 이슈온라인 뱅킹 트로이목마 Banki(1)온라인 뱅킹 트로이목마 Banki(2)패스워드를 노리는 악성코드악성코드의 3단 콤보 공격온라인 게임핵 변종 악성코드특정 후보의 정책관련 한글문서 위장 악성코드부킹닷컴을 사칭한 악성코드과다 트래픽을 발생시키는 악성코드상품권 번호 탈취하는 온라인 게임핵 악성코드Xerox WorkCentre를 사칭한 악성 메일Facebook을 사칭한 악성 e-mail 주의 2) 모바일 악성코드 이슈국내 스마트폰 사용자를 .. 2013. 2. 13. 이전 1 다음
